Vidéo: Wolfgang Beltracchi, l'escroc du siècle ! (Novembre 2024)
Ces princes nigérians ont de nouveaux tours dans leurs manches.
Rappelez-vous ces 419 escroqueries? C'étaient des courriels souvent mal écrits prétendant être d'un individu riche disposé à payer généreusement pour obtenir de l'aide afin de transférer sa richesse hors du pays. En réalité, lorsque les victimes ont communiqué leurs informations financières afin de les aider et d'obtenir un gain substantiel, les fraudeurs ont pillé les comptes bancaires et ont disparu.
Il semble que ces escrocs aient découvert des techniques d’attaque et des programmes malveillants de vol de données précédemment utilisés par des groupes plus sophistiqués de cybercriminalité et de cyberespionnage, ont déclaré des chercheurs de Palo Alto Networks. Des chercheurs de l'unité 42, l'équipe de renseignement sur les menaces de la société, ont décrit la série d'attaques contre les entreprises taïwanaises et sud-coréennes dans le rapport "419 Evolution" publié mardi.
Dans le passé, les escroqueries d'ingénierie sociale ciblaient principalement «des individus fortunés et sans méfiance». Avec de nouveaux outils en main, ces 419 fraudeurs semblent avoir déplacé le pool de victimes pour inclure les entreprises.
"Les acteurs ne font pas preuve d'un niveau élevé de savoir-faire technique, mais représentent une menace croissante pour les entreprises qui n'étaient pas auparavant leur cible principale", a déclaré Ryan Olson, directeur du renseignement de l'Unité 42.
Attaques sophistiquées par les non-initiés
Les réseaux de Palo Alto ont suivi les attentats, surnommés "Silver Spaniel" par les chercheurs de l'Unité 42, au cours des trois derniers mois. Les attaques ont commencé par une pièce jointe malveillante dans un e-mail qui, une fois cliquée, a installé un logiciel malveillant sur l'ordinateur de la victime. Un exemple est un outil d’administration à distance appelé NetWire, qui permet aux attaquants de s’emparer à distance des ordinateurs Windows, Mac OS X et Linux. Un autre outil, DataScrambler, a été utilisé pour reconditionner NetWire afin d’éviter la détection par les programmes antivirus. DarkComet RAT a également été utilisé dans ces attaques, indique le rapport.
Ces outils sont peu coûteux et facilement disponibles sur les forums clandestins. Ils pourraient être "déployés par toute personne disposant d'un ordinateur portable et d'une adresse e-mail", indique le rapport.
Les 419 escrocs étaient des experts en ingénierie sociale, mais ils étaient novices dans le domaine des logiciels malveillants et ont "démontré une sécurité opérationnelle remarquablement faible", selon le rapport. Même si l'infrastructure de commande et de contrôle était conçue pour utiliser des domaines DNS dynamiques (de NoIP.com) et un service VPN (de NVPN.net), certains des attaquants ont configuré les domaines DNS pour qu'ils pointent vers leurs propres adresses IP. Les chercheurs ont été en mesure de retracer les connexions avec les fournisseurs nigérians d’Internet mobile et par satellite, indique le rapport.
Les fraudeurs ont beaucoup à apprendre
Pour le moment, les attaquants n'exploitent aucune vulnérabilité logicielle et comptent toujours sur l'ingénierie sociale (pour laquelle ils sont très doués) pour amener les victimes à installer des logiciels malveillants. Ils semblent voler des mots de passe et d’autres données pour lancer des attaques ultérieures d’ingénierie sociale.
"Jusqu'à présent, nous n'avons observé aucune charge utile secondaire installée ni aucun mouvement latéral entre systèmes, mais nous ne pouvons pas exclure cette activité", ont écrit les chercheurs.
Des chercheurs ont découvert un Nigérian qui avait mentionné le programme malveillant à plusieurs reprises sur Facebook, demandant des informations sur des fonctionnalités NetWire spécifiques ou demandant de l'aide pour travailler avec Zeus et SpyEye, par exemple. Bien que les chercheurs n'aient pas encore associé cet acteur aux attaques de Silver Spaniel, il était l'exemple même de quelqu'un "qui a commencé sa carrière criminelle en exploitant 419 escroqueries et qui évolue vers l'utilisation d'outils malveillants trouvés sur des forums souterrains", a déclaré Palo Alto Networks.
Le rapport recommandait de bloquer toutes les pièces jointes exécutables dans les courriers électroniques et d'inspecter les archives.zip et.rar à la recherche de fichiers malveillants potentiels. Les pare-feu doivent également bloquer l'accès aux domaines DNS dynamiques fréquemment utilisés, et les utilisateurs doivent être formés pour se méfier des pièces jointes, même lorsque les noms de fichiers paraissent légitimes ou liés à leur travail, a déclaré Palo Alto Networks. Le rapport incluait les règles Snort et Suricata pour détecter le trafic Netwire. Les chercheurs ont également publié un outil gratuit pour décrypter et décoder le trafic de commande et de contrôle et révéler les données volées par des attaquants de Silver Spaniel.
"A l'heure actuelle, nous ne pensons pas que les acteurs Silver Spaniel commenceront à développer de nouveaux outils ou exploits, mais ils sont susceptibles d'adopter de nouveaux outils conçus par des acteurs plus compétents", indique le rapport.
